Проблема с Samba/Winbindd

[Vile]

Кереберос выдаёт тикет

Код: Выделить всё

    wbinfo -p
    Ping to winbindd succeeded on fd 4

Код: Выделить всё

    net ads join -U user
    user's password:
    Using short domain name -- DOM
    DNS update failed!
    Joined 'COMPNAME' to realm 'MYDOMAIN.RU' (хотя к слову он не появляется в АД)

Проблема в следующем

Код: Выделить всё

    wbinfo -t
    checking the trust secret via RPC calls failed
    error code was NT_STATUS_INVALID_HANDLE (0xc0000008)
    Could not check secret

Код: Выделить всё

    wbinfo -u
    Error looking up domain users

Код: Выделить всё

   smb.conf
    [global]
            dos charset = cp866
            unix charset = koi8-r
            display charset = koi8-r
            workgroup = DOM
            realm = MYDOMAIN.RU
            server string = File server
            interfaces = 172.22.1.3/24
            security = ADS
            auth methods = winbind
            password server = 192.168.0.1 172.22.0.2
            log level = 0 vfs:1
            log file = /var/log/samba/samba.log
            max log size = 0
            deadtime = 360
            paranoid server security = No
            max open files = 100000
            load printers = No
            show add printer wizard = No
            os level = 8
            dns proxy = No
            idmap uid = 10000-20000
            idmap gid = 10000-20000
            winbind enum users = Yes
            winbind enum groups = Yes
            winbind use default domain = Yes
            winbind nested groups = No
            winbind refresh tickets = Yes
            hosts allow = 192.168., 172.22., 127.
            case sensitive = No
            hide unreadable = Yes

Помогите плз

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[opt1k]

самбу перезапусти

[Vile]

Пробывал перезапускать самбу и даже ребутить сервак - не помогает.

[opt1k]

укажите статью по которой делали, так проще понять будет.

[Гость]

Делал по двум разным статьям в принципе - щас заметил что стала появлятся ошибка при рестарте самбы
nsswitch/winbindd_passdb.c:sid_to_name(126)
Possible deadlock: Trying to lookup SID S-1-5-2 with passdb backend
nmbd/nmbd_namequery.c:query_name_response(109)
query_name_response: Multiple (2) response recevived from a query on subnet "Мой ИП" for name "DOM"
This response was from IP 172.22.0.3 reporting an IP adress of 172.22.0.3

[Гость]

switch/winbindd_cashe.c:initialize_winbindd_cache(2230)
Делал в основном по http://www.opennet.ru/base/net/samba_tune_auth.txt.html

[opt1k]

лень мне опеннет читать, посмотрите вот эту статью http://www.lissyara.su/?id=1180

[x-life]

так решили проблемму или нет ... так как такая же проблема и хочу сказать что статья не одна не помогает ... ошибка такая же ... не по лисярской статье не по другим... может где-то на винде траблы ... помогите

[FoxDW]

че то похожее было у меня, стоит проверить:

Перезагрузить контроллер (вроде именно так у меня и решилась проблема)
Проверить синх времени
Проверить зашел ли сервер в домен, есть ли записи в ДНС на сервере

[NN]

# net join -U admin%passwd

и еще что klist показывает?

[x-life]

kinit d_sokolov
d_sokolov@HLIBUKR.COM.UA's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week

[root@samba /usr/local/etc]# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: d_sokolov@HLIBUKR.COM.UA

Issued Expires Principal
Mar 7 12:36:22 Mar 7 22:36:22 krbtgt/HLIBUKR.COM.UA@HLIBUKR.COM.UA

[x-life]

net ads join -U d_sokolov
[2009/03/07 12:37:27, 0] libads/kerberos.c:create_local_private_krb5_conf_for_domain(738)
create_local_private_krb5_conf_for_domain: rename of /var/db/samba/smb_tmp_krb5.Q6JLtb to /var/db/samba/smb_krb5/krb5.conf.LC failed. Errno Operation not permitted
d_sokolov's password:
Using short domain name -- LC
Joined 'LC' to realm 'HLIBUKR.COM.UA'

[x-life]

и ощибка такая осталась все равно

wbinfo -t
checking the trust secret via RPC calls failed
error code was NT_STATUS_INVALID_HANDLE (0xc0000008)
Could not check secret

[NN]

а Вы точно с поддержкой ADS установили?

попробуйте поставить в

Код: Выделить всё

security = domain

Если не поможет, то лучще правьте дефолтовый конфиг, а потом уже добавляйте всякие завороты

[x-life]

собрано точно с поддержкой поддержкой ADS тут все точно ... единственно что было это первый раз ввелось все нормально получил и пользователей и группы, потом начал ковырять конфиг перенастраивать все и после этого перестало работать ... может на контролере серва 2003 что-то добавилось что нужно удалить ... ??? если честно уже не знаю что и делать ... уже и фрю пересетапливал и все уже переделывал все проходит хорошо в плане ввода в домен получение но потом бамц проверяешь и такая ощипка вылазит

checking the trust secret via RPC calls failed
error code was NT_STATUS_INVALID_HANDLE (0xc0000008)
Could not check secret

[NN]

собрано точно с поддержкой поддержкой ADS тут все точно ... единственно что было это первый раз ввелось все нормально получил и пользователей и группы, потом начал ковырять конфиг перенастраивать все и после этого перестало работать ... может на контролере серва 2003 что-то добавилось что нужно удалить ... ??? если честно уже не знаю что и делать ... уже и фрю пересетапливал и все уже переделывал все проходит хорошо но потом бамц проверяешь и такая ощипка вылазит

checking the trust secret via RPC calls failed
error code was NT_STATUS_INVALID_HANDLE (0xc0000008)
Could not check secret

а nsswitch.conf правильно исправил?

[x-life]

конечно все правильно ... вот по статьям лисяры
group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files

[x-life]

я думаю может на контролере что-то не так может быть, туда первый раз что-то добавилось а сейчас добавлятся не хочет потому что есть еще старая регистрация тики может быть хз если чесно уже не знаю где копать

[NN]

конечно все правильно ... вот по статьям лисяры
group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files

вот мой

Код: Выделить всё

#
# nsswitch.conf(5) - name service switch configuration file
# $FreeBSD: src/etc/nsswitch.conf,v 1.1 2006/05/03 15:14:47 ume Exp $
#
#group: compat
group_compat: nis
hosts: files dns
networks: files
#passwd: compat
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files
passwd: files winbind
group: files winbind

а вот конфиг самбы

Код: Выделить всё

[global]

   workgroup = STARS

   server string = ProxyServer

   security = domain

   hosts allow = 192.168. 127.

;   load printers = yes

;   printcap name = /etc/printcap

;   printcap name = lpstat

;   printing = cups

;  guest account = pcguest

   log file = /var/log/samba/log.%m

   max log size = 50

   password server = 192.168.1.6

realm = stars.ru

passdb backend = tdbsam

;   include = /usr/local/etc/smb.conf.%m

;   socket options = SO_RCVBUF=8192 SO_SNDBUF=8192
socket options = TCP_NODELAY


   interfaces = 192.168.1.0/24

   local master = no

   os level = 0

   domain master = no

   preferred master = no

   domain logons = no

;   logon script = %m.bat

;   logon script = %U.bat

;   logon path = \\%L\Profiles\%U

;   wins support = yes

;   wins server = 192.168.1.6

;   wins proxy = yes

   dns proxy = no 

   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866

;    store dos attributes = yes
;    map hidden = no
;    map system = no
;    map archive = no

# Use inherited ACLs for directories
;    nt acl support = yes
;    inherit acls = yes
;    map acl inherit = yes 

;  add user script = /usr/sbin/useradd %u
;  add group script = /usr/sbin/groupadd %g
;  add machine script = /usr/sbin/adduser -n -g machines -c Machine -d /dev/null -s /bin/false %u
;  delete user script = /usr/sbin/userdel %u
;  delete user from group script = /usr/sbin/deluser %u %g
;  delete group script = /usr/sbin/groupdel %g

 winbind separator = +
 winbind use default domain = yes
 winbind uid = 10000-20000
 winbind gid = 10000-20000
 winbind enum users = yes
 winbind enum groups = yes
 template homedir = /home/winnt/%D/%U
 template shell = /bin/bash
 encrypt passwords = yes

а вот Heimdal я не ставил и /etc/krb5.conf не создавал, все и так работает), сделай по моим конфигам, посмотри, что и как

[NN]

я думаю может на контролере что-то не так может быть, туда первый раз что-то добавилось а сейчас добавлятся не хочет потому что есть еще старая регистрация тики может быть хз если чесно уже не знаю где копать

в АДу удали старую запись SAMBA,

зы

когда самба работает, то твой сервак висит в открытых сессиях

[x-life]

а как запись самбы удалить с сервака АД подскажите

[NN]

а как запись самбы удалить с сервака АД подскажите

если Вы никуда в активной дериктории не перемещали, то по умолчанию она создается в контейнере: Computers на контролере домена

[x-life]

ну сейчас сетаплю все сначало попробую... запись удалил ... буду пробывать позже отпишусь

[xplorer]

У меня была такая проблема. Возникла из-за совпадения localsid и domainsid.
Проверить можно net getdomainsid, изменить net setlocalsid.

[dasinger]

Вот эта строчка обязательно должна присутствовать в секции [global], файла smb.conf
encrypt passwords = yes